25-го закончился двухдневный первый в России
Russian CSO Summit. Что могу сказать про это мероприятие? Оно мне понравилось. За последние годы первая конференция, которая сделала акцент не на продуктах, не на рекламных докладах, а на общении руководителей службы ИБ. Не все, конечно, получилось, как хотелось, но в целом очень пристойно. Респект организаторам. А теперь по пунктам:
1. Как обычно зажег Михаил Емельянников, известный своим критическим взглядом на российское законодательство. В этот раз он рассказывал про тонкости выполнения законов "О персональных данных" и "О коммерческой тайне". Эмоциально, профессионально, по делу... Очень интересно было (хотя для частых слушателей или читателей М.Емельянникова нового было немного).
2. Второй запомнившийся доклад - выступление Касперского. Ну что сказать?.. Эмоционально и живенько, но... То же я слышал и пять лет назад (меняется только фактография) - криминал, мафия, кибер-Интерпол. Запугивать таким образом можно журналистов, но не специалистов, собравшихся на мероприятии. У меня даже сложилось впечатление, что он последнее время только для журналистов и выступает. Неприятный осадок остался после некоторых высказываний Евгения, которые несоответствовали действительности. В частности он заявил что лаборатория Wabi Sabi Labi, торговавшая уязвимостями, давно закрыта, а ее организаторы посажены в тюрьму. А это "не есть факт", как говорилось в "Короне российской империи". Что характерно, на следующий день с утра выступал Эдди Виллемс из Лаборатории Касперского (Бенелюкс). Так вот он рассказывал почти тоже самое, с меньшей эмоциональностью и чуть большей детализаций.
3. Интересной оказалась секция про повышение осведомленности. Юрий Лысенко (РосЕвроБанк) и Денис Андреевский (Вымпелком) поделились своим опытом организации данного процесса. Особенно порадовало выступление Вымпелкома - они продвиулись дальше многих в данной направлении.
4. Очень понравилось выступление Антона Чувакина. Он высказал ряд прогнозов и развенчал несколько мифов в области ИБ. Один из них касался управления рисками. По его словам, некоторые специалисты сейчас сходятся во мнении, что риски и ИБ - вещи несовместимые на сегодняшний день. Несмотря на крамольность этой мысли я с ним согласен - я об этом говорил и писал уже не раз. Если мы не можем посчитать вероятность наступления риска и стоимость ущерба (а так оно и есть), то как можно считать риски непонятно.
5. Так получилось, что после высказывания Антона о профанации риск-менеджмента проводилась секция про него ;-) И там как раз говорили про вычисление рисков. Первым выступал гендиректор Диалог-Науки Виктор Сердюк. А он видимо выступление Антона не слышал ;-) Выступая как по написанному, Виктор оставил двойственное впечатление. Из его выступления родилась бы отличная кандидатская. Но вот как он на практике это все применяет, непонятно... Например, он по традиции наших страховых компаний воспринимает информацию, как
материальный (!) актив. Упомянув про то, что риски можно оценивать количественно и качественно, рассказ шел только про последний вариант. Одним из применений управления рисками он назвал обоснование инвестиций. На мой вопрос, как
качественная оценка рисков позволяет обосновать финансовые (т.е. количественные) показатели, он так и не смог ответить, сославшись, что все его заказчики не требовали количественной оценки рисков.
6. Последняя интересная дискуссия (на последней секции "Как не быть директору по ИБ уволенным?" я не присутсвовал - улетел в командировку) касалась разработки эффективной стратегии ИБ-безопасности. Но эта тема почти не поднималась - все участники сосредоточились на вопросе "Как оценить эффективность ИБ?". Правда к единому и понятному мнению так и не пришли - каждый с пеной у рта доказывал свою позицию (даже до конфликта чуть дело не дошло). Хотя на мой взгляд тут все просто (относительно, конечно). Есть три уровня измерения эффективности ИБ. Первый - измерение результативности ИБ для самой ИБ. Например, число машин с установленным антивирусом. Второй - измерение оптимальности достижения результата. Например, сколько времени и денег ушло на установку антивирусов. Первые два уровня ориентированы на оценку службы ИБ самой собой. А вот третий уровень - оценка эффективности в бизнес-показателях, наиболее интересна. Тут тоже есть свои методы, но это уже отдельный разговор.
В целом мероприятие получилось. Я давно не видел, чтобы на мероприятии было столько руководителей служб информационной безопасности. Да еще чтобы они выходили на трибуну и делились свои опытом. В кулуарах прозвучало интересное высказывание на тему выступающих: "Чем больше человек выступает и делает реплики с места, тем больше вероятность, что он ищет работу". К отдельным выступающим это было как никогда к месту. Хотя многие докладчики действительно "болели" за дело и делились своим опытом с коллегами. Так что первый блин оказался не комом.
